Header Gesetzliche Anforderungen ISO 27001-Zertifizierung
Header Gesetzliche Anforderungen ISO 27001-Zertifizierung mobil
Sie befinden sich hier: Start > Gesetzliche Anforderungen > ISO 27001-Zertifizierung

ISO 27001-Zertifizierung

Erschienen:
Juni 2017 (letzte Ausgabe)

Betroffen:
Kritische Infrastrukturen und Interessenten an der Zertifizierung

Die internationalen Standards ISO/IEC 27001 & 27002 spezifizieren Anforderungen an den Aufbau eines Informationssicherheits-Managementsystems (ISMS) mit systematischer Berücksichtigung von Prozessen, Personen und Technologien in einem Unternehmen. Die Umsetzung der Normen hilft Unternehmen beim Schutz und der Verwaltung von Informationen durch ein Risikomanagement. Ein ISMS auf Grundlage der ISO 27001-Norm erfüllt dabei auch konkrete Anforderungen an die IT-Sicherheit oder den Datenschutz, wie es beispielsweise die DSGVO abverlangt. Die ISO 27002-Norm gibt konkrete Leitfäden vor, wie sich der Maßnahmenkatalog auf der ISO 27001-Norm im Konkreten umsetzen lässt und kann als Hilfestellung verwendet werden, um einer Auditprüfung für die ISO 27001-Zertifizierung gerecht zu werden.

Technische und organisatorische Maßnahmen

Der Anhang A der ISO 27001-Norm stellt einen Katalog mit 114 konkreten Maßnahmen zur Erfüllung ihrer Anforderungen bereit. Sektion A 12.4 „Loggin and monitoring“ verweist dabei konkret auf das Thema Log Management mit folgenden Unterpunkten:

12.4.1 Event Logging

Es werden Informationen über den Zugang und die Aktionen von Usern, Fehlern, Events etc. in einem Informationssystem gesichert. Bei mehreren Applikationen empfiehlt sich das zentrale Erfassen derer Logs in einem zentralen System.

12.4.2 Schutz der Log-Informationen

Die Logdaten müssen geschützt werden und dürfen nicht von unautorisierten Personen verändert oder gelöscht werden. Sollte es zu nicht-autorisierten Zugriffen auf das System kommen, werden Hacker in der Regel versuchen, Hinweise auf ihre Handlungen aus den Logs zu löschen. Es ist daher elementar, dass die Logs selbst auch einen entsprechenden Berechtigungsschutz erhalten.

12.4.3 Logs für Systemadministratoren

Systemadministratoren haben in der Regel besondere Zugriffsrechte im System, weshalb sie Aktionen ausführen können, die einem normalen User unbekannt sind. In manchen Fällen werden Aktionen von diesen Systemadministratoren nicht vom System erfasst und überwacht. Daraus resultiert eine Sicherheitslücke, insbesondere bei einem Angriff, bei dem sich der Angreifer Zugang zu einem Administrations-Konto verschafft hat. Systeme sollten deshalb Informationen über alle User und Usergruppen erfassen, egal welche Rechte und Zugriffe sie im System haben.

12.4.4 Synchrone Uhrzeiten

Alle Systeme und Informationsquellen sollten mit identischem Datum und Uhrzeit laufen. Fehler oder andere Vorfälle lassen sich ansonsten nicht mehr eindeutig nachvollziehen, da unklar ist, welche Prozesse wann und wo durchgeführt wurden.

Für den Sektor Energieversorgung wurde außerdem speziell die ISO-Norm 27019 entworfen. Während die Standard 27001 und 27002 branchenunabhängig und generisch formuliert sind, liefert der Standard 27019 klare Definitionen zu Sicherheitsmaßnahmen und deren Umsetzungen für den Sektor Energieversorgung, um die Anforderungen für eine Zertifizierung unter 27001 einfacher zu beantworten.

Mehr Infos: zur ISO-27001-Zertifizierung auf Basis von IT-Grundschutz

Weitere Vorschriften aus der Regulatorik